APT研究二进制安全 [2024]finalshell官网被伪造投放后门! ## 简介 这几天谷歌给我发消息说我的网站曝光量噌噌上涨,我去看关键词 好家伙 finalshell后门 这个关键字在TOP 2 ![](https://key08.com/usr/uploads/2024/06/1881493927.png) 然后我去搜了一下 发现是我的一个关于 [2023]FinalShell会造成大量SSH链接 https://key08.com/index.php/2023/12/03/1817.html 的帖子发的,那也不对,之前不会有那么多人看的 然后我搜了一下finalshell,懂了,是银狐 ![](https://key08.com/usr/uploads/2024/06/3244841777.png) 银狐的伪造网站 finalshell.net 这玩意在第二 比第一还真(finalshell的官网是hostbuf) 假官网如下,一眼银狐: ![](https://key08.com/usr/uploads/2024/06/456168128.png) 阅读全文 2024-06-02 huoji 5 条评论
APT研究 [2024]用EDR剖析流行黑产组织对抗安全软件的多重手段 ### 文章总结 本文介绍了在日常巡查中发现的一个虚假WPS官网,该网站被用来投放含有gh0st远控功能的恶意软件。这一行为被认定为“银狐”黑产组织所为。与以往不同的是,这个样本采用了多种安全软件对抗技术,成功绕过了大多数基于HIPS的安全软件的防御机制。 技术分析部分指出,样本对杀毒软件进行了免杀处理,目前只有三个杀毒软件能够检测到其为恶意软件。样本使用了一种更高级的虚假数字签名技术,这种签名对文件本身是可信的,但对签名链不可信,因此能够规避一些基于文件签名信任的杀毒引擎。 在持久化方面,样本会在启动后立即通过白加黑的方法加载恶意DLL,并创建服务等待下次重启。防御规避方面,样本会在用户重启电脑时以服务方式启动,并使用DLL侧加载方式劫持白名单文件,最终通过镜像篡改的方式启动注入器,给系统进程注入恶意代码,并连接C2服务器进行远控操作。 文章还提到了使用EDR进行分析的便利性,EDR能够标注恶意行为,从而无需对代码进行分析,只需观察行为即可。 最后,文章提供了相关的IOC列表,以及原文章的链接,供进一步的研究和分析。 阅读全文 2024-05-02 huoji 2 条评论